インターネットとSaaSへのセキュアなアクセス(ZIA)
シャドーITレポートについて
シャドーITレポートは、使用されている認可および無認可のアプリケーションの数とそのユーザー数を示します。また、各アプリケーションのアプリケーション カテゴリー、リスク インデックス、および認定も表示されます。Zscalerは最大5万個のクラウド アプリケーションをサポートします。
シャドーITは、特に複数のアプリケーションを採用したことにより、近年急激に成長しています。これらのアプリケーションは、承認段階やボトルネックが少なく、アプリケーションのセットアップが容易であることや、組織が提供する選択肢よりもアプリケーションが効率的であることなど、さまざまな理由でIT部署の承認をバイパスしてインストールされます。
一方、IT部署は、よりビジネスクリティカルなタスクに集中できるように、アプリケーション リクエストが少ないことも高く評価しています。しかし、IT部署の監視は重大なセキュリティ リスクにつながる可能性があります。これらの未承認アプリケーションは、脆弱性を監視し、攻撃者による悪用の可能性を軽減するために、ある段階でITチームまたは関連部門の監視下に置かれる必要があります。
シャドーITレポートには次のメリットがあり、次のことが可能になります。
- 組織のユーザー、部署またはロケーションで使用されるシャドーITアプリケーションを検出して管理します。
- SaaSアプリケーションを複数のリスク属性にわたって精査し、信頼性を実証することで、SaaSアプリケーションの包括的な可視性と保証を得ることができます。
- これらのアプリケーションの使用によってもたらされる潜在的な脅威や脆弱性から組織のトラフィックを分析して保護します。
- ユーザー、ロケーション、リスク レベル、データ消費、セキュリティ認定など、さまざまな視点からレポートを表示し、サイバー攻撃に対する回復力の強い組織のシャドーITトラフィックを構築します。
- SaaSアプリケーションの可視性を高めるには、Zscalerサービスや、Palo Alto Networksなどの他のサードパーティー ベンダーのデバイスによって生成されたセキュリティ イベントを確認します。
[シャドーITレポートについて]ページ
[シャドーITレポート]ページ([分析]>[SaaSセキュリティ]>[アプリケーション])では、以下の手順を実行します。
- 選択内容を使用して、シャドーITページ全体のデータをフィルタリングします。[すべてのフィルターを削除]はいつでもクリックできます。
- アプリケーション カテゴリー
- すべて
- 管理
- AIおよびMLアプリケーション
- 生産性向上・CRMツール
- コンシューマー
- カスタム アプリケーション
- DNS Over HTTPSサービス
- コラボレーションとオンラインミーティング
- ファイル共有
- ファイナンス
- 通常のブラウジング
- Health Care
- ホスティングプロバイダー
- 人的資源
- インスタントメッセージ
- ITサービス
- 法務
- セールス/マーケティング
- SNS
- ストリーミングメディア
- システムと開発
- Webメール
- Web検索
- リスク インデックス
リスクインデックス番号(1~5、1が最も低いリスク、5が最も高いリスク)でフィルター処理します。
閉じる - アプリケーション ステータス
- 合計バイト数
- タグ
特定のタグに関連付けられたアプリケーションのレポートをフィルタリングします。
閉じる - 従業員数
- 証明書
組織が準拠している認証の種類でフィルタリングします。含めるか、除外するかを選択できます。
- すべて
- AICPA
- CCPA
- CISP
- COPPA
- CSA STAR
- EU-米国Privacy Shieldフレームワーク
- EU-米国およびスイス-米国Privacy Shield
- FedRAMP
- FERPA
- FIPS
- FISMA
- GDPR
- HIPAA
- HITECH
- ISAE 3000
- ISO 10002
- ISO 14001
- ISO 20243
- ISO 20252
- ISO 26262
- ISO 27001
- ISO 27017
- ISO 27018
- JIS Q 15001
- NIST
- なし
- PCI DSS
- RGPD
- SAFE-BioPharma
- SOC
- SOC 1
- SOC 2
- SOC 3
- SSAE 18
- TRUSTe
- SSL証明書キーのサイズ
組織が使用するSSL証明書キーのサイズでフィルター処理します。現在の標準では、2048ビットのSSL RSAキー サイズが安全であると見なされます。1024ビットのキーは古く、4096ビットのSSLキーは最新かつ最も安全なサイズです。
- すべて
- 256ビット
- 384ビット
- 1024ビット
- 2048ビット
- 3072ビット
- 4096ビット
- 不明
- SSL証明書の署名アルゴリズム
SSL/TLS証明書で使用されている暗号化署名アルゴリズムに基づいて、SaaSアプリケーションのリストをフィルタリングします。
- すべて
- MD5-SHA1 RSA
- SHA1 ECDSA
- SHA1 RSA
- SHA256 ECDSA
- SHA256 RSA
- SHA256 RSA-PSS
- SHA384 ECDSA
- SHA384 RSA
- SHA512 ECDSA
- SHA512 RSA
- SHA512 RSA-PSS
- 不明
- ホスティングとセキュリティの特徴
各アプリケーションのホスティングおよびセキュリティ特性を表示します。特性は、次のように変更できます。
- はい: 特徴があります。
- No: 特徴がありません。
- 不明: 未定
- [すべて]:上記のすべてのオプションを考慮します
- [不十分な利用規約]:不正パラメーターを含む法的条件を確認します(たとえば、アプリケーションが他の目的で、または他のサードパーティー アプリケーションと共有された顧客データを使用する場合)。
- [過去3年間のデータ侵害]:アプリケーションが既知のデータ侵害を報告したかどうかを確認します。
- 送信元IPの制限: アプリケーションが特定のIPアドレスからのアクセスを許可または制限するオプションを提供しているかどうかを確認します。アプリケーションにこのオプションがない場合、誰でもアプリケーションにアクセスできるため、攻撃対象領域が広がります。
- [MFAサポート]:アプリケーションが多要素認証をサポートしているかどうかを確認します。
- [管理者監査ログ]:アプリケーションがログ記録をサポートしているかどうか、またはすべての管理アクティビティーの証跡を提供しているかどうかを確認します。これは、悪意のあるアクティビティーや異常なアクティビティーを特定するのに役立ちます。
- [SSLのピン留め]:アプリケーションにSSL証明書がピン留めされているかどうかを確認します。ピン留めされた証明書は、トラフィックの復号化と内容の検証を困難にし、悪意のあるファイルが含まれている可能性があります。
- [転送中のデータ暗号化]:アプリケーションがサポートする最小TLSバージョンを確認します。最新のTLSバージョンが最も安全です。TLS1.1より前のバージョンをまだ使用しているアプリケーションは、安全性が低いと見なされます。
- [回避]:ユーザーがアカウントを作成してログインすることを想定せずに、アプリケーションが匿名でデータにアクセスすることをサポートしているかどうかを確認します。ログイン オプションがない場合、誰でもIDを提供せずに匿名でアプリケーションにアクセスできます。たとえば、一部のアプリケーションでは、ユーザーがファイルを認証せずに共有できます。これにより、悪意のあるユーザーがマルウェアを拡散し、ユーザーの特定が困難になる可能性があります。
- [HTTPセキュリティ ヘッダーのサポート]:すべてのセキュリティ ヘッダー(X-XSS-Protection、X-Frame-Options、Strict-Transport-Security、Content-Security-Policy、X-Content-Type-Options)が安全に実装されていることを確認します。
- [有効なSSL証明書]:アプリケーションのSSL証明書が有効かどうかを確認します。
- [公開されたCVE脆弱性]:アプリケーションにCVE脆弱性が公開されているかどうかを確認します。
- DNS CAAポリシー:DNS認証局認可(CAA)は、インターネットセキュリティポリシーメカニズムの一つです。ドメイン名の所有者は、認証局に対して、特定のドメイン名に対してデジタル証明書を発行する権限を有するかどうかを示します。この属性は、ドメインがこのアプリケーションのために特定のCAA当局に言及するかを捕捉します。
- [脆弱な暗号のサポート]:脆弱な暗号の有無を確認します。暗号は、暗号化アルゴリズムまたは復号化アルゴリズムとも呼ばれます。この属性は、128ビット未満のキー サイズを示します。キーは、サーバーとのSSL接続を確立するために使用されます。
- [ファイル共有]:アプリケーションがファイル共有をサポートしているかどうかを確認しますが、ユーザーがコンテンツを組織外で共有できるため、危険な場合があります。
- [Heartbleedに対して脆弱]:アプリケーションがHeartbleed攻撃に対して脆弱であるかどうかを確認します。
- [POODLEに対して脆弱]:アプリケーションがPOODLE攻撃に対して脆弱であるかどうかを確認します。
- [Logjamに対して脆弱]:アプリケーションがLogjam攻撃に対して脆弱であるかどうかを確認します
- [WAFのサポート]:アプリケーションがWebアプリケーション ファイアウォール(WAF)をサポートしているかどうかを確認します。
- [リモートアクセス画面共有]:アプリケーションがリモート アクセス画面共有をサポートしているかどうかを確認します。これは、攻撃対象領域が広がるため、リスクが高い場合があります。悪意のあるユーザーが有効なリモート アクセス セッションを取得すると、データ流出につながる可能性があります。
- [脆弱性開示ポリシー]:アプリケーションに脆弱性開示ポリシーがあるかどうかを確認します。アプリケーションでは、倫理的なユーザーやハッカーが攻撃につながる可能性のある設定ミスを報告できるように、このオプションを提供する必要があります。
- [送信者ポリシー フレームワーク]:アプリケーションが送信者ポリシー フレームワーク(SPF)認証をサポートしているかどうかを確認します。SPF認証は、ユーザーのドメインからメールを送信できる許可されたドメインIPアドレスの数を厳密に指定することで機能します。SPFを設定する際、ドメイン所有者は、どのドメインがメールの送信を許可するかを受信サーバーに示すファイルまたはレコードをサーバーに追加します。
- [ドメインキー識別メール]:アプリケーションがドメインキー識別メール(DKIM)をサポートしているかどうかを確認します。DKIM認証はSPFと似ています。これは、ドメイン パネルに追加することでTXTレコードとして追加されます。これにより、サーバーからサーバーへと送信されるメールが中間の誰かによって改ざんされることはなく、メールが反対側から明確に識別されるようになります。
- [ドメインベースのメッセージ認証]:アプリケーションがドメインベースのメッセージ認証、レポートおよび準拠(DMARC)をサポートしているかどうかを確認します。DMARCは、SPFとDKIMに基づいて構築されており、SPFとDKIMの記録を検証することで、メールをさらに検証します。これにより、DMARCの検証に失敗した場合のポリシーを設定したり、レポートを生成したりすることができます。
- アプリケーション カテゴリー
- [送信元]: Zscalerサービスまたはサードパーティー ベンダー(Palo Alto Networksなど)によって生成されたレポートを表示できます。サードパーティーのデータを表示するには、ほぼリアルタイムのファイアウォール ログとWebプロキシ ログを取り込み、必要なデータ ポイントを収集し、機密情報をマスキングし、シャドーITレポート用にデータをZscalerクラウドに安全にストリーミングします。
- [表示期間:]過去1日間、7日間、15日間、1か月または四半期のデータを表示できます。デフォルトの時間は過去7日間です。
- [概要]:以下のセクションは、アプリケーションの概要です。これらのセクションの情報は、ステップ1で選択したフィルターによって異なります。
- [アプリケーションの合計数]:使用中の承認済みアプリケーションと未承認のアプリケーションの合計数。
- [合計バイト数]:アップロードとダウンロードの両方のすべてのアプリケーションによって消費された合計バイト数。
- [アップロード バイト数]:すべてのアプリケーションの合計アップロード バイト数。
- [ダウンロード バイト数]:すべてのアプリケーションのダウンロード バイト数の合計。
- [ステータス別のアプリケーション]:このセクションには、組織内の承認済みアプリケーションと未承認アプリケーションの分布が表示されます。
- [企業プラットフォームへの潜在的なアクセス権を持つアプリケーション]:このセクションには、企業のSaaSプラットフォーム(Google Workspace、Azure ADなど)への潜在的なアクセス権を持つアプリケーションの数が表示されます。クラウド アプリケーション テーブルで、潜在的な統合列の数字が0より大きい場合、アプリケーションには潜在的なアクセス権があります。このセクションのデータは、Zscaler サードパーティー アプリのガバナンスによって入力されます。
- [上位のアプリケーション カテゴリー]:このセクションでは、アプリケーションの分類を示します。このセクションをフィルター処理して、各アプリケーション カテゴリーについてのアプリケーション数、ダウンロード バイト数、合計バイト数またはアップロード バイト数のデータを表示できます。カテゴリーにカーソルをかざすと、認可済みアプリケーションと無認可アプリケーションの概要が表示されます。
- [リスク インデックス別のアプリケーション]:このセクションには、各リスク インデックスのアプリケーション数が表示されます(1〜5、1が最も低いリスク、5が最も高いリスク)。
日次、週次、または月次のシャドーITレポートをスケジュール設定します。スケジュール設定されたシャドーITレポートは、[スケジュール設定されたレポート]ページ([分析]>[インタラクティブ レポート]>[スケジュール済みレポート])で表示および管理できます。
- レポートをCSVファイルとしてダウンロードします。
- アプリケーションを名前で検索します。
- [クラウド アプリケーション]:すべてのアプリケーションのリストを表示します。アプリケーションごとに、以下を表示することができます。
- アプリケーション:アプリケーション名です。アプリケーションをクリックすると、 アプリケーション情報 ページに遷移します。
- アプリケーション カテゴリー:アプリケーションのアプリケーション カテゴリーを指定します。
- 合計バイト数:アプリケーションのアップロードバイトとダウンロードバイトの合計。
- アップロードバイト数:アプリケーションによってアップロードされた合計バイト数。
- ダウンロードバイト数:アプリケーションによってダウンロードされた合計バイト数。
- [ユーザー]:指定した時間範囲内にアプリケーションにアクセスした一意の認証済みユーザーの数。アプリケーションのユーザー番号をクリックすると、[アプリケーション情報]ページの[ユーザー]テーブルにリダイレクトされます。
- [ロケーション]:アプリケーションがアクセスされる認証されていないロケーションの数。アプリケーションのロケーション番号をクリックすると、アプリケーション情報のページのロケーションのテーブルにリダイレクトされます。この情報は、Zscalerとして[送信元]を選択したときにのみ表示されます。
- [潜在的な統合]:組織内のアプリケーションに関連付けられている潜在的な統合の数。たとえば、組織でGrammarlyを使用していて、アプリケーションでこのフィールドに少なくとも1つの統合が表示されている場合、GrammarlyはGoogle Workspaceなどの貴社のSaaSプラットフォームにアクセスできる可能性があります。この列のデータは、サードパーティー アプリのガバナンスによって入力されます。
- [アプリケーション リスク インデックス]:リスク インデックス番号。
- [アプリケーション ステータス]:アプリケーションが承認されているか承認されていないか。
- [タグ]:アプリケーションに関連付けられているタグ。クラウド アプリケーションのタグのページでタグを作成し、アプリケーション情報のページまたはクラウド アプリケーションのページでそれらをアプリに関連付けることができます。
- [注記]: [アプリケーション情報]ページでアプリケーションに追加した注記。注記を追加していない場合、列は空白のままです。
